Hola,
tengo la red que véis en la imagen. El problema es que me gustaría que los ordenadores que pertencen a distinta red NO se comuniquen entre ellos, pero todos necesitan acceder al servidor.
El protocolo que estoy usando es EIGRP. Podría utilizar OSPF si alguien lo ve mejor.
Mi idea ha sido configurar EIGRP en todos los router y no publicar las redes "locales" (por redes locales entenderemos las redes a las que pertencen los ordenadores). El router tiene las rutas de las redes locales configuradas estáticamente. El gran problema es que si un enlace de los que salen del router que contiene el servidor cae, la red a la que señala no podrá comunicarse aunque tenga una ruta alternativa. Si permito rutas alternativas entonces tenemos el problema de que las redes locales se comunican.
¿Alguna idea? gracias ;)
Si no se ve bien, con pinchar en la imagen sale grande
(http://img31.imageshack.us/img31/9706/imagen1fj.png) (http://imageshack.us/photo/my-images/5/imagen1ld.png/)
un saludo!!
Saludos:
Lo primero que se me viene a la cabeza¿has probado Listas de Acceso Extendidas?Podrias bloquear y dirigir el trafico de entrada y salida
amigo esa idea q tienes esta muy errada.. jejej si lo aces en una empresa tu jefe te bota de inmediato..! si quieres prohibir cualquier protocolo, acceso, comunicacion entre redes/sub-redes/etc. lo que debes hacer es configurar ALC (Access Control List) listas de control de acceso, la configuras en la interfaz adecuada y asi evitas lo q qieres..
leelo de su propia gente:
http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00800a5b9a.shtml
Al decir Listas de Acceso Extendidas,me referia a ALC extendidas,con las que puedes restringir ip de origen,destino,puertos,servicios etc,,
jeje si amigo ya se lo habias dicho.. pero avcs no basta no solo dcir. se trata de ayudar un tut alguna guia.. o algo q lo ilustre mas o menos pa q se guie poray.. de todos modos en la pagina de cisco sale todo eso..
algo asi pana:
http://aprenderedes.com/2006/11/proceso-de-configuracion-de-acl/
espero que les sirva...
Si gracias, ya las estoy usando, pero tengo dos poblemas.
En una interfaz FastEthernet 0/0 de Router 2 he configurado esta lista de acceso
Extended IP access list NO_ACCESS_EXT_R2
permit tcp 192.168.0.0 0.0.0.7 any eq www
permit tcp 192.168.0.0 0.0.0.7 any eq 443
deny ip 192.168.0.0 0.0.0.7 192.168.0.0 0.0.0.255
Extended IP access list NO_ACCESS_EXT_R2_Entrada
permit tcp any 192.168.0.0 0.0.0.7 established
deny ip 192.168.0.0 0.0.0.255 192.168.0.0 0.0.0.7
El primero es que aunque solo tengo que deniegue lo que veis, no puedo hacer ping ni a los host de la red 192.168.1.8 /30.
Necesito conectar desde dicha subred a un servidor http cuya dirección es 192.168.0.34 y no va tampoco. También he probado
Extended IP access list NO_ACCESS_EXT_R2
permit tcp 192.168.0.0 0.0.0.7 host 192.168.0.34 eq www
permit tcp 192.168.0.0 0.0.0.7 host 192.168.0.34 eq 443
deny ip 192.168.0.0 0.0.0.7 192.168.0.0 0.0.0.255
Extended IP access list NO_ACCESS_EXT_R2_Entrada
permit tcp host 192.168.0.34 192.168.0.0 0.0.0.7 established
deny ip 192.168.0.0 0.0.0.255 192.168.0.0 0.0.0.7
gracias!
solucionado, lo que es de entrada iba en salida y viceversa. gracias
Cita de: dj-blydex en 19 Junio 2011, 05:06 AM
amigo esa idea q tienes esta muy errada.. jejej si lo aces en una empresa tu jefe te bota de inmediato..!
:xD no es para tanto hombre, ya esta todo solucionado!
PD: Comprendería eso si me liara con su mujer jeje
un saludo!!
Cita de: thedoctor77 en 20 Junio 2011, 01:12 AM
PD: Comprendería eso si me liara con su mujer jeje
jajaja nahh asi no te botan asi te arrancacn la cabeza..!!! XD
mera no se si lo colocaste, pero al final de cada acl si mal no recuerdo(tampoco recuerdo si solo en las extendendidas o tambien se ace en las estandar) debe ir permit tcp any any ya que la sentencia final por defecto siempre en las acl es deny any any.. revisa eso bien a ver..